KONZERNRICHTLINIE DATENSCHUTZ-BINDING CORPORATE RULES PRIVACY (BCRP)
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Konzernrichtlinie Datenschutz– Binding
Corporate Rules Privacy (BCRP)
Impressum
Richtline zum Schutz der Persönlichkeitsrechte im
Herausgeber
Umgang mit personenbezogenen Daten in der
Deutschen Telekom Gruppe
Deutsche Telekom AG, Group Privacy
Version 2.7
Stand 05.12.2013
Status finale Fassung
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 1 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Impressum
Herausgeber
Deutsche Telekom AG
Vorstandsbereich Datenschutz, Recht und Compliance
Group Privacy
Friedrich-Ebert-Allee 140, 53113 Bonn, Deutschland
Titel Version Anwendungsbereich
Konzernrichtlinie_Datenschutz_DT 2.7 national
AG.docx
Autoren Fachfreigabe von Ansprechpartner
Daniel Hoff Leiter Group Privacy Marcus Schmitz, GPR
Marcus Schmitz, GPR Dr. Claus-Dieter Ulmer Dr. Jörg Friedrichs, GPR
Dr. Jörg Friedrichs, GPR Stephanie König, GPR
Status und Stand Inkrafttreten Ort der Dokumentation
finale Fassung In der Deutschen Telekom AG Richtliniendatenbank der
05.12.2013 gemäß Vorstandsbeschluss vom Deutschen Telekom
10.06.2014 zum 01.07.2014. (http://richtlinien.telekom.de)
In den Konzerngesellschaften
gemäß Organbeschluss bzw.
Entscheidung des zuständigen
Organmitglieds.
Zusammenfassung
Regelung zum Umgang mit personenbezogenen Daten im Konzern; Neufassung des Privacy Code of
Conduct
Änderungshistorie
Version Stand Bearbeiter Änderungen / Kommentar
2.2 20.01.2013 Sonja Klauck Überarbeitete Version des Privacy Code of Conducts
deutsch Version 2.1
2.3 08.02.2013 Dr. Claus-Dieter Ulmer Komplette Überarbeitung
2.4 14.02.2013 Dr. Claus-Dieter Ulmer Datenweitergabe und Haftung
2.5 21.03.2013 Marcus Schmitz Überarbeitung mit den Anmerkungen des BfDI
Dr. Claus-Dieter Ulmer
2.6 09.04.2013 Daniel Hoff Überarbeitung mit den Anmerkungen des BfDI
2.7 05.12.2013 Daniel Hoff, Überarbeitung mit den Anmerkungen der
Marcus Schmitz Österreichischen Aufsichtsbehörde
Achtung:
Ein Ausdruck dieser Konzernrichtlinie könnte bereits veraltet sein. Bitte überprüfen Sie stets in der
Richtliniendatenbank der Deutschen Telekom (http://richtlinien.telekom.de) ob es sich um die aktuelle
Version der Konzernrichtlinie handelt.
Inhaltsverzeichnis
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 2 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7 Teil 1 Geltungsbereich................................................................................................................................................. 6 §1 Rechtsnatur der Konzernrichtlinie Datenschutz..................................................................................................... 6 §2 Anwendungsbereich ...................................................................................................................................................... 6 §3 Verhältnis zu anderen Rechtsvorschriften ............................................................................................................... 6 §4 Beendigung und Kündigung ....................................................................................................................................... 7 Teil 2 Grundsätze ............................................................................................................................................................. 8 Abschnitt 1 Transparenz der Datenverarbeitung............................................................................... 8 §5 Informationspflicht .......................................................................................................................................................... 8 §6 Inhalt und Gestaltung der Information ...................................................................................................................... 8 §7 Verfügbarkeit von Informationen ................................................................................................................................ 8 Abschnitt 2 Zulässigkeitsvoraussetzungen für die Verwendung personenbezogener Daten ...................................................................................................................................... 9 §8 Grundsatz .......................................................................................................................................................................... 9 §9 Zulässigkeit der Verwendung personenbezogener Daten ................................................................................. 9 § 10 Einwilligung des Betroffenen....................................................................................................................................... 9 § 11 Automatisierte Einzelentscheidungen .................................................................................................................... 10 § 12 Die Verwendung personenbezogener Daten für Direktmarketingzwecke ................................................... 10 § 13 Besondere Arten personenbezogener Daten ....................................................................................................... 10 § 14 Datensparsamkeit, Datenvermeidung, Anonymisierung und Pseudonymisierung ................................... 10 § 15 Koppelungsverbot ........................................................................................................................................................ 10 Abschnitt 3 Weitergabe personenbezogener Daten........................................................................ 11 § 16 Arten und Zwecke der Weitergabe von personenbezogenen Daten ............................................................. 11 § 17 Übermittlung von Daten .............................................................................................................................................. 11 § 18 Datenverarbeitung im Auftrag ................................................................................................................................... 11 Abschnitt 4 Datenqualität und Datensicherheit ............................................................................... 12 § 19 Datenqualität .................................................................................................................................................................. 12 § 20 Datensicherheit - Technische und organisatorische Maßnahmen ................................................................. 12 Teil 3 Rechte des Betroffenen ............................................................................................................................ 13 § 21 Auskunftsrecht ............................................................................................................................................................... 13 § 22 Widerspruchsrecht und Recht auf Löschung, Sperrung und Berichtigung................................................. 13 § 23 Recht auf Klärung, Stellungnahme und Abhilfe ................................................................................................... 13 § 24 Frage- und Beschwerderecht .................................................................................................................................... 14 § 25 Ausübung der Rechte des Betroffenen .................................................................................................................. 14 § 26 Textfassung der Konzernrichtlinie............................................................................................................................ 14 Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 3 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7 Teil 4 Datenschutzorganisation ...................................................................................................................... 15 § 27 Verantwortung für die Datenverarbeitung.............................................................................................................. 15 § 28 Datenschutzbeauftragte.............................................................................................................................................. 15 § 29 Konzerndatenschutzbeauftragter............................................................................................................................. 15 § 30 Informationspflicht bei Verstößen ............................................................................................................................ 16 § 31 Überprüfungen des Datenschutzniveaus............................................................................................................... 16 § 32 Mitarbeiterverpflichtung und Schulung .................................................................................................................. 16 § 33 Zusammenarbeit mit Aufsichtsbehörden............................................................................................................... 17 § 34 Zuständige Stellen für Kontakte und Anfragen .................................................................................................... 17 Teil 5 Haftung .................................................................................................................................................................... 18 § 35 Anwendungsbereich der Haftungsregelungen .................................................................................................... 18 § 36 Haftungsschuldner ....................................................................................................................................................... 18 § 37 Beweislast ....................................................................................................................................................................... 18 § 38 Drittbegünstigung für Betroffene .............................................................................................................................. 18 § 39 Gerichtsstand ................................................................................................................................................................... 18 § 40 Außergerichtliche Schlichtung .................................................................................................................................. 19 Teil 6 Schlussbestimmungen ................................................................................................................................ 20 § 41 Überprüfung und Überarbeitung dieser Konzernrichtlinie ............................................................................... 20 § 42 Ansprechpartner- und Unternehmensliste............................................................................................................. 20 § 43 Verfahrensrecht / Salvatorische Klausel ................................................................................................................ 20 § 44 Öffentliche Bekanntmachung ..................................................................................................................................... 20 Teil 7 Definitionen und Begriffe ......................................................................................................................... 21 Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 4 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Präambel
(1) Der Schutz personenbezogener Daten von Kunden, Mitarbeitern und anderen Personen, die mit der
Deutschen Telekom Gruppe in Verbindung stehen, ist ein maßgebliches Ziel aller Unternehmen der
Deutsche Telekom Gruppe.
(2) Die Unternehmen der Deutschen Telekom Gruppe sind sich bewusst, dass der Erfolg der Deutschen
Telekom im Ganzen nicht nur von der globalen Vernetzung von Informationsflüssen, sondern vor allem
auch vom vertrauensvollen und sicheren Umgang mit personenbezogenen Daten abhängt.
(3) In vielen Bereichen wird die Deutsche Telekom Gruppe aus Sicht ihrer Kunden und der Öffentlichkeit
als eine Einheit wahrgenommen. Es ist deshalb das gemeinsame Anliegen der Unternehmen der
Deutschen Telekom Gruppe, durch die Umsetzung dieser Konzernrichtlinie einen wichtigen Beitrag
zum gemeinsamen unternehmerischen Erfolg zu leisten und den Anspruch der Deutschen Telekom
Gruppe als Anbieter qualitativ hochwertiger und zukunftsweisender Produkte und Dienstleistungen zu
unterstützen.
(4) Mit dieser Konzernrichtlinie schafft die Deutschen Telekom Gruppe ein weltweit einheitliches und
hohes Datenschutzniveau. Sowohl für die unternehmensinterne, wie auch die
unternehmensübergreifende Datenverwendung und sowohl für die nationale, wie die internationale
Datenübermittlung. Personenbezogene Daten müssen in der Deutschen Telekom Gruppe beim
Empfänger von Daten entsprechend den datenschutzrechtlichen Grundsätzen verarbeitet werden, die
für die übermittelnde Stelle gelten.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Hinweis:
Bei der Umsetzung dieser Konzernrichtlinie durch Einzelregelungen in den Unternehmen sind die jeweils
bestehenden kollektivrechtlichen Regelungen und Beteiligungsrechte der zuständigen
Arbeitnehmervertretungen zu beachten.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 5 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Teil 1
Geltungsbereich
§ 1 Rechtsnatur der Konzernrichtlinie Datenschutz
Die Konzernrichtlinie Datenschutz ist eine bindende Konzernrichtlinie für den Umgang mit
personenbezogenen Daten (entsprechend des Arbeitsdokumentes 133, Artikel 29 Arbeitsgruppe der
Europäischen Kommission). Sie gilt für alle Unternehmen der Deutschen Telekom Gruppe, welche sie
rechtsverbindlich in Kraft gesetzt haben. Gleiches gilt für Unternehmen, bei denen die Deutsche Telekom
das Recht hat, die Übernahme dieser Konzernrichtlinie zu verlangen oder bei denen sie von den
Unternehmen freiwillig übernommen wurde. Dies gilt unabhängig vom Ort der Datenerhebung.
§ 2 Anwendungsbereich
Die Konzernrichtlinie Datenschutz gilt für alle Arten der Verwendung von personenbezogenen Daten in der
Deutschen Telekom Gruppe, unabhängig vom Ort ihrer Erhebung. Personenbezogene Daten werden in der
Deutschen Telekom Gruppe insbesondere zu folgenden Zwecken verwendet:
(1) Zur Verwaltung von Beschäftigtendaten im Rahmen der Anbahnung, Durchführung und Abwicklung
von Arbeitsverhältnissen sowie zur Ansprache der Beschäftigten zur Vorstellung von Produkten und
Dienstleistungen, die die Deutsche Telekom Gruppe oder Dritte den Beschäftigten darüber hinaus
anbieten.
(2) Zur Anbahnung, Durchführung und Abwicklung von Kundenverträgen im Geschäftskundenbereich
und im Privatkundenmarkt sowie zur Werbung und Marktforschung, um Kunden und interessierte
Dritte über die Produkte und Leistungen der Deutschen Telekom Gruppe oder Dritter bedarfsgerecht
informieren zu können.
(3) Zur Anbahnung, Durchführung von Verträgen mit Dienstleistern der Deutschen Telekom Gruppe im
Rahmen der Erbringung von Dienstleistungen für die Deutsche Telekom Gruppe.
(4) Zum ordnungsgemäßen Umgang mit sonstigen Dritten, insbesondere Aktionären, Gesellschaftern oder
Besuchern, sowie zur Erfüllung zwingender gesetzlicher Vorschriften.
Die Verwendung der Daten findet im Rahmen der derzeitigen und zukünftigen Geschäftszwecke der
Unternehmen der Deutschen Telekom Gruppe statt, das sind unter anderem Telekommunikation, digitale
Services für den Privat- und Geschäftskundenmarkt, IT-Services einschließlich Rechenzentrums-
dienstleistungen und Beratungsleistungen.
§ 3 Verhältnis zu anderen Rechtsvorschriften
(1) Die Bestimmungen der Konzernrichtlinie Datenschutz sollen ein einheitlich hohes Datenschutzniveau
in der gesamten Deutsche Telekom Gruppe gewährleisten. Für einzelne Unternehmen bestehende
Verpflichtungen und Regelungen zur Verarbeitung und Nutzung personenbezogener Daten, die über
die hier geregelten Grundsätze hinausgehen bzw. zusätzliche Beschränkungen für die Verarbeitung
und Nutzung personenbezogener Daten enthalten, bleiben von dieser Konzernrichtlinie unberührt.
(2) Für die in Europa erhobenen Daten richten sich die Anforderungen an die datenschutzkonforme
Verwendung der Daten grundsätzlich und unabhängig vom Ort der Verwendung nach den
gesetzlichen Regelungen des Staates, in dem die Daten erhoben wurden, mindestens jedoch nach
den Anforderungen in dieser Konzernrichtlinie Datenschutz.
(3) Die Geltung nationaler Vorschriften, die aus Gründen der Sicherheit des Staates, der
Landesverteidigung, der öffentlichen Sicherheit sowie der Verhütung, Ermittlung und Verfolgung von
Straftaten erlassen wurden und zur Weitergabe von Daten an Dritte verpflichten, bleibt von den
Regelungen in dieser Konzernrichtlinie Datenschutz unberührt. Sollte ein Unternehmen feststellen,
dass wesentliche Teile dieser Konzernrichtlinie landesgesetzlichen Datenschutzbestimmungen
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 6 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
widersprechen und dies der Unterzeichnung der Konzernrichtlinie entgegensteht, ist der
Konzerndatenschutzbeauftragte der Deutschen Telekom Gruppe unverzüglich zu unterrichten. Die
zuständige Aufsichtsbehörde des Unternehmens ist vermittelnd mit einzubeziehen.
§ 4 Beendigung und Kündigung
Die Bindungswirkung dieser Konzernrichtlinie endet, wenn ein Unternehmen die Deutsche Telekom
Gruppe verlässt oder die Konzernrichtlinie außer Kraft setzt. Die Beendigung oder Außerkraftsetzung der
Konzernrichtlinie befreit das Unternehmen jedoch nicht von den Verpflichtungen und/oder Regelungen
dieser Konzernrichtlinie Datenschutz für die Verwendung bereits übermittelter Daten. Jeder weitere
Datentransfer von oder zu diesem Unternehmen kann nur stattfinden, wenn andere angemessene
Verfahrensgarantien gemäß den Anforderungen des Europäischen Rechts eingehalten werden.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 7 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Teil 2
Grundsätze
Abschnitt 1
Transparenz der Datenverarbeitung
§ 5 Informationspflicht
Die Betroffenen werden über die Verwendung ihrer personenbezogenen Daten entsprechend den
gesetzlichen Regelungen sowie den nachfolgenden Bestimmungen informiert.
§ 6 Inhalt und Gestaltung der Information
(1) Das Unternehmen stellt den Betroffenen in geeigneter Weise folgende allgemeine Informationen zur
Verfügung:
a) über die Identität des für die Verarbeitung Verantwortlichen sowie dessen Kontaktadresse.
b) über die beabsichtigte Verwendung und den Zweck der Verwendung der Daten. Aus der
Information soll hervorgehen, welche Daten warum und zu welchem Zweck wie lange gespeichert
und/oder verarbeitet/genutzt werden.
c) bei Weitergabe oder Übermittlung personenbezogener Daten an Dritte, an wen und in welchem
Umfang sowie zu welchem Zweck diese Weitergabe oder Übermittlung erfolgt.
d) über die Rechte, die sie im Zusammenhang mit der Verwendung der Daten haben.
(2) Unabhängig vom gewählten Medium sollen die Informationen den Betroffenen auf eine eindeutige
und leicht verständliche Weise gegeben werden.
§ 7 Verfügbarkeit von Informationen
Die Informationen müssen den Betroffenen bei der Erhebung der Daten sowie danach stets bei Bedarf zur
Verfügung stehen.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 8 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Abschnitt 2
Zulässigkeitsvoraussetzungen für die
Verwendung personenbezogener Daten
§ 8 Grundsatz
Personenbezogene Daten dürfen nur nach Maßgabe der nachfolgenden Bestimmungen und nur für die
Zwecke verwendet werden, für die sie ursprünglich erhoben wurden.
Die Verwendung von bereits erhobenen Daten für andere Zwecke ist nur dann zulässig, wenn dafür die
Zulässigkeitsvoraussetzungen nach Maßgabe der folgenden Bestimmungen vorliegen.
§ 9 Zulässigkeit der Verwendung personenbezogener Daten
Die Verwendung personenbezogener Daten darf erfolgen, wenn eine oder mehrere der folgenden
Voraussetzungen erfüllt sind:
a) Sie ist ausdrücklich gesetzlich zulässig.
b) Der Betroffene hat in die Verwendung seiner Daten eingewilligt;
c) die Verwendung der Daten ist erforderlich für die Erfüllung der Verpflichtungen des Unternehmens aus
einem Vertrag mit dem Betroffenen, einschließlich der vertraglichen Informations- und/oder
Nebenpflichten, oder für die Durchführung von vor- und/oder nachvertraglicher Maßnahmen, die der
Anbahnung oder Abwicklung des Vertragsverhältnisses auf Antrag der betroffenen Person erfolgen;
d) die Verwendung der Daten ist für die Erfüllung einer gesetzlichen bzw. rechtlichen Verpflichtung
erforderlich, der das Unternehmen unterliegt;
e) die Verwendung der Daten ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen
Person;
f) die Verwendung der Daten ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen
Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und die dem Unternehmen oder dem
Dritten, dem die Daten übermittelt werden, auferlegt wurde;
g) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem
Unternehmen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt
werden, sofern nicht das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
§ 10 Einwilligung des Betroffenen
Die Einwilligung des Betroffenen gemäß § 9 Abs. 1, lit. b) dieser Konzernrichtlinie ist wirksam wenn:
a) die Einwilligung ausdrücklich und freiwillig erfolgt ist und auf einer informierten Grundlage beruht,
welche dem Betroffenen insbesondere die Reichweite der Einwilligung aufzeigt. Die
Einwilligungserklärung muss hinreichend bestimmt sein und den Betroffenen über sein jederzeitiges
Widerrufsrecht informieren. Bei Geschäftsmodellen bei denen der Widerruf dazu führt, dass
vertragliche Pflichten nicht erfüllt werden können, ist der Betroffene darüber zu informieren.
b) die Einholung der Einwilligung in einer den Umständen angemessenen Form (Textform) erfolgt. Sie
kann in Ausnahmefällen mündlich erfolgen, wenn hierbei die Tatsache der Einwilligung sowie die
besonderen Umstände, die die mündliche Einwilligung angemessen erscheinen lassen, ausreichend
dokumentiert werden.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 9 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
§ 11 Automatisierte Einzelentscheidungen
a) Entscheidungen, die einzelne Aspekte einer Person bewerten und für die Betroffenen möglicherweise
rechtliche Folgen nach sich ziehen oder sie erheblich beeinträchtigen können, dürfen nicht
ausschließlich auf eine automatisierte Verwendung von Daten gestützt werden. Hierzu gehören
insbesondere Entscheidungen für die die Daten über die Kreditwürdigkeit, die berufliche
Leistungsfähigkeit oder den Gesundheitszustand des Betroffenen maßgeblich sind.
b) Sofern im Einzelfall die sachliche Notwendigkeit zur Vornahme automatisierter Entscheidungen
besteht, ist der Betroffene über das Ergebnis der automatisierten Entscheidung zu informieren. Er muss
die Möglichkeit zur Stellungnahme innerhalb einer angemessenen Frist haben. Die Stellungnahme ist
angemessen zu berücksichtigen, bevor eine endgültige Entscheidung getroffen wird.
§ 12 Die Verwendung personenbezogener Daten für Direktmarketingzwecke
Bei der Verwendung von Daten für Direktmarketingzwecke sind die Betroffenen
a) über die Art und Weise der Verwendung ihrer Daten für Zwecke des Direktmarketings informiert zu
unterrichten
b) darüber in Kenntnis zu setzen, dass sie jederzeit der Verwendung ihrer personenbezogenen Daten für
Zwecke des Direktmarketings widersprechen können und
c) in die Lage zu versetzen, ihr Widerspruchsrecht angemessen ausüben zu können, insbesondere
müssen die Betroffenen Informationen über das Unternehmen, bei dem der Widerspruch einzulegen
ist, erhalten.
§ 13 Besondere Arten personenbezogener Daten
a) Die Verwendung besonderer Arten von personenbezogenen Daten (vgl. Teil 7) ist nur zulässig, wenn
sie einer gesetzlichen Regelung unterliegen oder die vorherige Einwilligung des Betroffenen vorliegt.
Sie kann auch erfolgen, wenn die Verarbeitung erforderlich ist, um den Rechten und Pflichten des
Unternehmens auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern angemessene
Schutzmaßnahmen ergriffen werden und die Verwendung aufgrund einzelstaatlichen Rechts nicht
untersagt ist.
b) Vor Beginn einer solchen Erhebung, Verarbeitung oder Nutzung hat das Unternehmen den
Datenschutzbeauftragten des Unternehmens zu unterrichten und dies zu dokumentieren. Bei der
Beurteilung der Zulässigkeit sollen insbesondere Art, Umfang, Zweck, das Erfordernis und die
Rechtsgrundlage der Verwendung der Daten berücksichtigt werden.
§ 14 Datensparsamkeit, Datenvermeidung, Anonymisierung und Pseudonymisierung
(1) Personenbezogene Daten müssen unter Berücksichtigung der Zweckbestimmung ihrer Verwendung
oder Nutzung angemessen und relevant sein und dürfen den erforderlichen Umfang nicht übersteigen
(Datensparsamkeit). Daten dürfen im Rahmen einer bestimmten Anwendung nur dann verarbeitet
werden, wenn dies erforderlich ist (Datenvermeidung).
(2) In den Fällen, in denen es möglich und wirtschaftlich zumutbar ist, sind Verfahren zur Löschung der
Identifikationsmerkmale der Betroffenen (Anonymisierung) bzw. zur Ersetzung der
Identifikationsmerkmale durch andere Kennzeichen (Pseudonymisierung) einzusetzen.
§ 15 Koppelungsverbot
Die Inanspruchnahme von Dienstleistungen oder der Erhalt von Produkten und/oder Dienstleistungen
dürfen nicht davon abhängig gemacht werden, dass der Betroffene in die Verwendung seiner Daten für
andere Zwecke einwilligt, als für die Zwecke der Vertragsbegründung und -erfüllung. Dies gilt nur dann,
wenn dem Betroffenen die Inanspruchnahme vergleichbarer Dienstleistungen bzw. die Nutzung
vergleichbarer Produkte nicht oder in nicht zumutbarer Weise möglich ist.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 10 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Abschnitt 3
Weitergabe personenbezogener Daten
§ 16 Arten und Zwecke der Weitergabe von personenbezogenen Daten
(1) Personenbezogene Daten können derart weitergegeben werden, dass die empfangende Stelle für die
erhaltenen Daten eigenverantwortlich ist (Übermittlung), oder dass sie die Daten nur nach Weisung und
Maßgabe der weitergebenden Stelle verwenden darf (Auftragsdatenvereinbarung).
(2) Die Weitergabe von personenbezogenen Daten erfolgt ausschließlich zu den zulässigen Zwecken
gemäß § 9 dieser Konzernrichtlinie im Rahmen der geschäftsgegenständlichen Ausrichtung der
Unternehmen, ihrer rechtlich Verpflichtungen oder von Einwilligungen der betroffenen Personen.
§ 17 Übermittlung von Daten
(1) Wenn ein Unternehmen Daten an Stellen übermittelt, die ihren Sitz in einem Drittland haben oder die
grenzüberschreitenden Datentransfer ausüben, muss sichergestellt werden, dass diese Daten in
rechtmäßiger Art und Weise übertragen werden. Vor der Übertragung müssen angemessene
Datenschutz- und Datensicherheitsanforderungen mit dem Empfänger vereinbart werden.
Personenbezogene Daten, insbesondere die in der EU bzw. EWR erhobenen, dürfen an Stellen
außerhalb der Europäischen Union zudem nur übermittelt werden, wenn das angemessene
Datenschutzniveau durch diese Konzernrichtlinie Datenschutz oder durch andere angemessene
Maßnahmen sichergestellt wurde. Dies können die EU-Standardvertragsklauseln oder vertragliche
Individualvereinbarungen sein, die den Anforderungen aus dem europäischen Recht genügen.
(2) Auf Grundlage der Vorgaben der Deutschen Telekom Gruppe sowie der allgemein anerkannten
technischen und organisatorischen Standards, müssen angemessene technische und organisatorische
Maßnahmen getroffen werden, um den Schutz der personenbezogenen Daten auch während ihrer
Übermittlung an eine andere Stelle sicherzustellen.
§ 18 Datenverarbeitung im Auftrag 1
(1) Wird eine andere Stelle (Auftragnehmer) im Auftrag eines Unternehmens (Auftraggeber) nach dessen
Weisung und für dessen Zwecke tätig, so ist neben den zu erbringenden Dienstleistungen im Vertrag
auch auf die Verpflichtungen des Auftragnehmers als Auftragsdatenverarbeiter Bezug zu nehmen. In
diesen Verpflichtungen werden die Anweisungen des Auftraggebers bezüglich der Art und Weise der
Verarbeitung der personenbezogenen Daten, dem Zweck der Verarbeitung und den erforderlichen
technischen und organisatorischen Maßnahmen zum Schutz der Daten festgelegt.
(2) Ohne die vorherige Zustimmung des Auftraggebers darf der Auftragnehmer die ihm zur
Auftragserfüllung überlassenen personenbezogenen Daten nicht für eigene oder fremde Zwecke
verwenden. Die Einbindung von Unterauftragnehmern durch den Auftragnehmer zur Erfüllung der
vertraglichen Verpflichtungen bedarf der vorherigen Information des Auftraggebers. Der Auftraggeber
hat ein Widerspruchsrecht gegen die Beauftragung von Unterauftragnehmern. Bei der zulässigen
Einbindung von Unterauftragnehmern hat der Auftragnehmer den Unterauftragnehmer auf die
Vereinbarungen, die zwischen dem Auftragnehmer und dem Auftraggeber getroffen wurden,
entsprechend zu verpflichten.
(3) Die Auftragnehmer sind von den Unternehmen nach ihrer Fähigkeit, die oben genannten
Anforderungen zu erfüllen, auszuwählen.
1
Dieser § ist keine Regelung im Sinne des Arbeitspapieres 195 der Artikel 29 Arbeitsgruppe der Europäischen
Kommission.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 11 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Abschnitt 4
Datenqualität und Datensicherheit
§ 19 Datenqualität
(1) Personenbezogene Daten müssen korrekt sein und sind soweit erforderlich auf dem jeweils aktuellen
Stand zu halten (Datenqualität).
(2) Unter Beachtung des Verwendungszwecks der Daten sind angemessene Maßnahmen dafür zu treffen,
dass unrichtige oder unvollständige Daten gelöscht, gesperrt oder gegebenenfalls berichtigt werden.
§ 20 Datensicherheit - Technische und organisatorische Maßnahmen
Für die Unternehmensprozesse, IT-Systeme und Plattformen in denen personenbezogene Daten erhoben,
verarbeitet oder genutzt werden, müssen die Unternehmen zum Schutz der Daten angemessene
technische und organisatorische Maßnahmen treffen.
Zu diesen Maßnahmen gehören:
a) Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet
oder genutzt werden, zu verwehren (Zutrittskontrolle),
b) zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können
(Zugangskontrolle),
c) zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass
personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt
gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
d) zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während
des Transports oder der Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine
Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
(Kontrolle der Weitergabe),
e) zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden
sind (Eingabekontrolle),
f) zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend
den Weisungen des Auftraggebers verarbeitet werden können (Kontrolle des Auftragnehmers),
g) zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt
sind (Verfügbarkeitskontrolle),
h) zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können (Trennungsgebot).
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 12 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Teil 3
Rechte des Betroffenen
§ 21 Auskunftsrecht
(1) Jeder Betroffene kann gegenüber jedem Unternehmen, das seine Daten verwendet, jederzeit Auskunft
verlangen über:
a) die zu seiner Person gespeicherten Daten, inklusive ihrer Herkunft und Empfänger;
b) den Zweck der Verwendung der Daten;
c) die Personen und Stellen, an die seine Daten regelmäßig übermittelt werden, insbesondere soweit
es sich um eine Übermittlung ins Ausland handelt;
d) die Regelungen dieser Konzernrichtlinie Datenschutz.
(2) Die Auskunft ist dem Betroffenen in angemessener Frist in verständlicher Form zu erteilen. Sie erfolgt
in der Regel schriftlich oder elektronisch. Die Information über die Regelungen dieser Konzernrichtlinie
Datenschutz kann durch Überlassen einer Textfassung der Konzernrichtlinie erfolgen.
(3) Die Unternehmen können für die Auskunftserteilung eine Gebühr verlangen, wenn und soweit dies
nach Maßgabe des jeweiligen Landesrechts zulässig ist.
§ 22 Widerspruchsrecht und Recht auf Löschung, Sperrung und Berichtigung
(1) Der Betroffene kann der Verwendung seiner Daten jederzeit widersprechen, wenn sie nicht zu
gesetzlich zwingenden Zwecken verwendet werden.
(2) Das Widerspruchsrecht gilt auch für den Fall, dass der Betroffene zuvor seine Einwilligung zur
Verwendung seiner Daten gegeben hatte.
(3) Berechtigten Ersuchen zur Löschung oder Sperrung von Daten ist unverzüglich nachzukommen. Ein
solches Ersuchen ist insbesondere dann berechtigt, wenn die rechtliche Grundlage für die
Verwendung der Daten weggefallen ist. Falls ein Recht auf Löschung der Daten besteht, eine
Löschung aber nicht möglich oder unzumutbar ist, sind die Daten für nicht zulässige Verwendungen zu
sperren. Gesetzliche Aufbewahrungsfristen sind zu beachten.
(4) Der Betroffene kann vom Unternehmen jederzeit die Berichtigung der zu seiner Person gespeicherten
Daten verlangen, sofern diese unvollständig und/oder unrichtig sind.
(5) Bei Geschäftsmodellen bei denen der Widerspruch oder die Löschung dazu führt, dass vertragliche
Pflichten nicht erfüllt werden können, ist der Betroffene darüber zu informieren.
§ 23 Recht auf Klärung, Stellungnahme und Abhilfe
(1) Macht ein Betroffener eine Verletzung seiner Rechte durch unzulässige Verwendung seiner Daten,
insbesondere in Form eines nachweislichen Verstoßes gegen diese Konzernrichtlinie geltend, so
haben die zuständigen Unternehmen den Sachverhalt ohne schuldhaftes Zögern aufzuklären.
Insbesondere bei einer Weitergabe oder Übermittlung von Daten an Unternehmen außerhalb der
Europäischen Union hat das in der Europäischen Union ansässige Unternehmen den Sachverhalt
aufzuklären und den Beweis zu erbringen, dass die Stelle, die die Daten empfangen hat,, nicht gegen
diese Konzernrichtlinie verstoßen hat oder verantwortlich für einen entstandenen Schaden ist. Die
Unternehmen arbeiten bei der Sachverhaltsfeststellung eng zusammen und gewähren sich
gegenseitig Zugang zu allen dafür erforderlichen Informationen.
(2) Der Betroffene kann gegenüber der Konzernholding der Deutschen Telekom Gruppe jederzeit
Beschwerde einreichen, wenn der Verdacht besteht, dass ein Unternehmen der Deutschen Telekom
Gruppe seine personenbezogenen Daten nicht gemäß den Gesetzen oder den Bestimmungen dieser
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 13 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Konzernrichtlinie verarbeitet. Der begründeten Beschwerde wird innerhalb eines angemessenen
Zeitraums abgeholfen und der Betroffene entsprechend informiert.
(3) Sind von einer Beschwerde mehrere Unternehmen betroffen, koordiniert der Datenschutzbeauftragte
des Unternehmens mit der größten Sachnähe die gesamte einschlägige Korrespondenz mit dem
Betroffenen. Der Konzerndatenschutzbeauftragte hat ein jederzeitiges Eintritts- und Übernahmerecht.
(4) Meldungen zu einem Datenschutzvorfall müssen in geeigneter Weise (z.B. über ein Funktionspostfach
des Datenschutzbereiches oder Nennung eines direkten Ansprechpartners im Internet) erfolgen
können.
(5) Der Datenschutzbeauftragte des betroffenen Unternehmens hat den Konzerndatenschutzbeauftragten
über einen Datenschutzvorfall anhand der dafür vorgesehenen Meldeprozesse unverzüglich zu
informieren.
(6) Betroffene können im Falle einer Verletzung ihrer Rechte oder im Schadensfall etwaige Ansprüche
gemäß den Bestimmungen in Teil 5 dieser Konzernrichtlinie geltend machen.
§ 24 Frage- und Beschwerderecht
Jeder Betroffene hat das Recht, sich jederzeit mit Fragen und Beschwerden zur Anwendung dieser
Konzernrichtlinie an den oder die Datenschutzbeauftragten der Unternehmen zu wenden, das oder die
seine personenbezogenen Daten verwenden. Das Unternehmen mit der größten Sachnähe oder das
Unternehmen, von dem die Daten des Betroffenen erhoben wurden, sorgt für die Umsetzung der Rechte
des Betroffenen bei den anderen zuständigen Unternehmen.
§ 25 Ausübung der Rechte des Betroffenen
Betroffene dürfen wegen der Inanspruchnahme der hier beschriebenen Rechte nicht benachteiligt werden.
Die Art und Weise der Kommunikation mit dem Betroffenen – z.B. telefonisch, elektronisch oder
schriftlich – sollte, soweit dies angemessen ist, dem Wunsch des Betroffenen entsprechen.
§ 26 Textfassung der Konzernrichtlinie
Jedermann bekommt auf Anfrage eine Textfassung dieser Konzernrichtlinie Datenschutz zugesandt.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 14 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Teil 4
Datenschutzorganisation
§ 27 Verantwortung für die Datenverarbeitung
Die Unternehmen sind verpflichtet, die Einhaltung der gesetzlichen Datenschutzbestimmungen und dieser
Konzernrichtlinie Datenschutz sicherzustellen.
§ 28 Datenschutzbeauftragte
(1) In den Unternehmen ist ein unabhängiger Datenschutzbeauftragter zu bestellen. Dieser hat die
Aufgabe, die Beratung der verschiedenen Organisationseinheiten in diesem Unternehmen über die
gesetzlichen sowie unternehmens- und konzerninternen Vorgaben zum Datenschutz und
insbesondere diese Konzernrichtlinie Datenschutz sicherzustellen. Der Datenschutzbeauftragte
überwacht die Einhaltung der Datenschutzvorschriften durch geeignete Maßnahmen, insbesondere
stichprobenartige Kontrollen.
(2) Vor der Bestellung eines Datenschutzbeauftragten ist der Konzerndatenschutzbeauftragte vom
Unternehmen zu konsultieren.
(3) Das Unternehmen stellt sicher, dass der Datenschutzbeauftragte die erforderlichen Kompetenzen zur
rechtlichen, technischen und organisatorischen Bewertung von datenschutzrelevanten Maßnahmen
hat.
(4) Der Datenschutzbeauftragte ist für die Ausübung seiner Aufgaben vom Unternehmen mit
angemessenen finanziellen und personellen Mitteln auszustatten.
(5) Dem Datenschutzbeauftragten des Unternehmens ist ein direktes Berichtsrecht an die
Unternehmensleitung einzuräumen. Er ist organisatorisch an die Unternehmensleitung anzubinden.
(6) Die Umsetzung der Vorgaben des Konzerndatenschutzbeauftragten und der Datenschutzstrategie der
Deutschen Telekom Gruppe obliegt dem Datenschutzbeauftragten des jeweiligen Unternehmens.
(7) Alle Bereiche der Unternehmen sind verpflichtet, den Datenschutzbeauftragten alle Entwicklungen zur
IT-Infrastruktur, zur Netzinfrastruktur, zu Geschäftsmodellen, Produkten, Personaldatenverarbeitungen
sowie den zugehörigen strategischen Planungen zu unterrichten. Der Datenschutzbeauftragte ist bei
neuen Entwicklungen frühzeitig zu beteiligen, um sicherzustellen, dass jegliche Datenschutzbelange
berücksichtigt und bewertet werden.
§ 29 Konzerndatenschutzbeauftragter
(1) Der Konzerndatenschutzbeauftragte koordiniert die Zusammenarbeit und Abstimmung zu allen
wichtigen Fragen des Datenschutzes in der Deutschen Telekom Gruppe. Er informiert bei Bedarf den
Vorstand der Konzernholding der Deutschen Telekom Gruppe zu den aktuellen Entwicklungen oder
formuliert Empfehlungen.
(2) Es obliegt dem Konzerndatenschutzbeauftragten die Datenschutzpolitik der Deutschen Telekom
Gruppe zu entwickeln und fortzuschreiben. Die Datenschutzbeauftragten der Unternehmen werden
dabei angemessen eingebunden. Sie entwickeln die Datenschutzpolitik für ihr Unternehmen im
Einklang mit der Datenschutzpolitik der Gruppe. Eine gemeinsamer Austausch zwischen dem
Konzerndatenschutzbeauftragten und den Datenschutzbeauftragten der Länder findet jährlich im
Rahmen von Präsenzveranstaltungen (International Privacy Leader Meetings) statt.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 15 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
§ 30 Informationspflicht bei Verstößen
Die Datenschutzbeauftragten sind vom betroffenen Unternehmen unverzüglich über Verstöße oder
konkrete Anhaltspunkte für einen Verstoß gegen Datenschutzbestimmungen, insbesondere auch dieser
Konzernrichtlinie Datenschutz, zu informieren. Bei Vorfällen mit möglicher Öffentlichkeitswirkung, mit
Relevanz für mehr als ein Unternehmen oder mit einem möglichen Schadenseintritt von über 500.000 EUR
informiert der Datenschutzbeauftragte unverzüglich auch den Konzerndatenschutzbeauftragten. Die
Datenschutzbeauftragten der Unternehmen informieren den Konzerndatenschutzbeauftragten ferner, wenn
die für ein Unternehmen geltenden Gesetze sich wesentlich nachteilig im Sinne dieser Konzernrichtlinie
ändern.
§ 31 Überprüfungen des Datenschutzniveaus
(1) Überprüfungen der Einhaltung der Vorgaben dieser Konzernrichtlinie und des sich daraus
abzuleitenden Datenschutzniveaus erfolgen durch Kontrollen, die vom
Konzerndatenschutzbeauftragten anhand eines jährlichen Kontrollplans durchgeführt werden, sowie
durch andere Maßnahmen, wie etwa Kontrollen der Datenschutzbeauftragten der Unternehmen oder
Reports.
(2) Die Kontrollen des Konzerndatenschutzbeauftragten werden durch interne oder externe Auditoren
durchgeführt. Darüber hinaus werden regelmäßige Self-Assessment Verfahren in der Deutschen
Telekom Gruppe durchgeführt und vom Konzerndatenschutzbeauftragten koordiniert. Die Ergebnisse
wesentlicher Kontrollen und die dazu vereinbarten Maßnahmen werden dem Vorstand der Holding der
Deutschen Telekom Gruppe mitgeteilt. Die zuständige Datenaufsichtsbehörde kann auf Nachfrage
eine Kopie des Kontrollergebnisses erhalten. Zudem kann die für das Unternehmen zuständige
Aufsichtsbehörde auch eine Kontrollmaßnahme anstoßen. Diese Kontrollmaßnahmen werden von den
Unternehmen bestmöglich unterstützt und die daraus abgeleiteten Maßnahmen werden umgesetzt.
(3) Werden im Rahmen einer Kontrolle Schwachstellen festgestellt, sind diese durch entsprechende
Maßnahmen durch das Unternehmen zu beheben. Der Konzerndatenschutzbeauftragte verfolgt die
Umsetzung der Maßnahmen. Sollten diese ohne ausreichende Begründung nicht umgesetzt werden,
bewertet der Konzerndatenschutzbeauftragte die Auswirkungen auf den Datenschutz und leitet die
notwendigen Konsequenzen und gegebenenfalls eine Eskalation ein.
(4) Die Datenschutzbeauftragten der Unternehmen oder andere mit einem Prüfungsauftrag ausgestattete
Organisationseinheiten prüfen zusätzlich auf die Einhaltung der Belange des Datenschutzes auf
Grundlage von eigenen, schriftlich zu dokumentierenden Auditierungsplanungen.
(5) Sofern keine gesetzlichen Beschränkungen bestehen, sind der Konzerndatenschutzbeauftragte bei
allen Unternehmen und die Datenschutzbeauftragten, jeweils für ihr Unternehmen, befugt die
ordnungsgemäße Verwendung von personenbezogenen Daten zu überprüfen. Dazu gewähren die
Unternehmen umfassend Zutritt und Einsicht zu den Informationen, die der
Konzerndatenschutzbeauftragte und die Datenschutzbeauftragten zur Aufklärung und Bewertung
eines Sachverhalts für notwendig erachten. Der Konzerndatenschutzbeauftragte und die
Datenschutzbeauftragten können in diesem Zusammenhang Weisungen erteilen.
(6) Die Datenschutzbeauftragten der Unternehmen bedienen sich im Rahmen ihrer Prüfaufgabe nach
Möglichkeit konzernweit gleichartiger Verfahren, z.B. in Form von gemeinsamen Datenschutzaudits.
Diese Verfahren können vom Konzerndatenschutzbeauftragten zur Verfügung gestellt werden.
§ 32 Mitarbeiterverpflichtung und Schulung
(1) Die Unternehmen verpflichten ihre Mitarbeiter spätestens bei Aufnahme ihrer Tätigkeit auf das Daten-
und Fernmeldegeheimnis. Im Rahmen der Verpflichtung werden die Mitarbeiter ausreichend auf die
Belange des Datenschutzes geschult. Dafür richtet das Unternehmen geeignete Prozesse ein und stellt
Materialien zur Verfügung.
(2) Die Mitarbeiter werden regelmäßig, mindestens aber alle zwei Jahre auf die Grundlagen im
Datenschutz geschult. Die Unternehmen können die Schulungen für die eigenen Mitarbeiter selbst
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 16 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
entwickeln und durchführen. Die Durchführung der Schulungen ist vom Datenschutzbeauftragten des
Unternehmens zu dokumentieren und an den Konzerndatenschutzbeauftragten jährlich zu berichten.
(3) Der Konzerndatenschutzbeauftragte kann Materialien und Prozesse zur Verpflichtung und Schulung
der Mitarbeiter der Deutschen Telekom Gruppe zentral zur Verfügung stellen.
§ 33 Zusammenarbeit mit Aufsichtsbehörden
(1) Die Unternehmen erklären sich damit einverstanden, mit der für sie oder das Daten übermittelnde
Unternehmen zuständigen Aufsichtsbehörde vertrauensvoll zusammenzuarbeiten, insbesondere
Anfragen zu beantworten und Empfehlungen aufzunehmen.
(2) Im Falle einer Änderung der für ein Unternehmen geltenden Gesetze, die auf die hier gegebenen
Zusicherungen wesentliche nachteilige Auswirkungen haben können, setzt das Unternehmen die
zuständige Aufsichtsbehörde über die Änderung in Kenntnis.
§ 34 Zuständige Stellen für Kontakte und Anfragen
Zuständige Stelle für Kontakte und Anfragen zu dieser Konzernrichtlinie sind die
Datenschutzbeauftragten der Unternehmen oder der Konzerndatenschutzbeauftragte. Der
Konzerndatenschutzbeauftragte nennt auf Anfrage auch die Kontakte zu den Datenschutzbeauftragten
der Unternehmen.
Der Konzerndatenschutzbeauftragte ist über
datenschutz@telekom.de
privacy@telekom.de
+49-228-181-82001
zu den üblichen Geschäftszeiten nach mitteleuropäischer Zeit zu erreichen.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 17 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Teil 5
Haftung
§ 35 Anwendungsbereich der Haftungsregelungen
(1) Die Konzernrichtlinie Datenschutz gilt für diesen Bereich ausschließlich für die Verarbeitung aller
personenbezogenen Daten aus der EU / dem EWR, auf die die EU-Datenschutzrichtlinie 95/46/EG
Anwendung findet.
(2) Innerhalb der EU/EWR finden die gesetzlichen Haftungsregelungen der Länder Anwendung, in denen
ein Unternehmen seinen Sitz hat. Bei Daten, die nicht unter § 35 Abs. 1 BCRP fallen, finden die
gesetzlichen Haftungsregelungen des Landes Anwendung, in dem das Unternehmen seinen Sitz hat,
das die Daten erhoben hat, oder wenn keine gesetzliche Regelung besteht, die Allgemeinen
Geschäftsbedingungen des Unternehmens, das die Daten erhoben hat.
(3) Die Zahlung von Strafschadensersatz, wonach ein Unternehmen einem Betroffenen Zahlungen leisten
muss, die über den tatsächlich entstandenen Schaden hinausgehen, ist ausdrücklich ausgeschlossen.
§ 36 Haftungsschuldner
(1) Jede betroffene Person, die durch eine Verletzung der in der Konzernrichtlinie genannten Pflichten
durch ein Unternehmen der Deutschen Telekom Gruppe oder durch Empfänger von Daten, an die ein
Unternehmen der Deutschen Telekom Gruppe die Daten weitergegeben oder übermittelt hat, ist
berechtigt, von den beteiligten Unternehmen der Deutschen Telekom Gruppe Schadensersatz für den
erlittenen Schaden zu verlangen.
(2) Der Betroffene kann den Schadensersatzanspruch auch gegen die Holdinggesellschaft der Deutschen
Telekom Gruppe geltend machen. Leistet die Holdinggesellschaft Schadensersatz kann sie die
Erstattung der Zahlungen von den Unternehmen verlangen, die den Schaden verursacht haben oder
ein verursachenden Dritten beauftragt haben.
(3) Der Betroffene hat den Schadensersatzanspruch zunächst gegen das Unternehmen geltend zu
machen, das die Daten weitergegeben oder übermittelt hat. Fällt das übertragende Unternehmen als
Schuldner faktisch oder rechtlich aus, kann der Betroffene seine Ansprüche gegenüber dem
empfangenen Unternehmen geltend machen. Das empfangende Unternehmen kann sich seiner
Haftung nicht entziehen, indem es sich auf die Verantwortung eines Auftragnehmers für einen Verstoß
beruft.
(4) Der Betroffene hat jederzeit das Recht, sich mit einer Beschwerde an die zuständige Aufsichtsbehörde
oder die für die Holdinggesellschaft der Deutschen Telekom Gruppe zuständige Aufsichtsbehörde zu
wenden.
§ 37 Beweislast
Die Beweislast für die ordnungsgemäße Verwendung der Daten des Betroffenen tragen die haftenden
Unternehmen.
§ 38 Drittbegünstigung für Betroffene
Soweit dem Betroffenen keine unmittelbaren Rechte zustehen, kann er als Drittbegünstigter die Rechte aus
den Bestimmungen dieser Konzernrichtlinie gegen die Unternehmen geltend machen, wenn diese im
Hinblick auf den Betroffenen ihre Vertragspflichten verletzen.
§ 39 Gerichtsstand
Der Gerichtsstand für die Geltendmachung von Haftungsansprüchen kann nach Wahl des Betroffenen
a) der für den Betroffenen geltende Gerichtsstand oder
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 18 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
b) entweder im Gerichtsstand des Unternehmensteils, von dem die Übermittlung stammt, oder
c) im Gerichtsstand der europäischen Zentrale oder des mit dem Datenschutz beauftragten, in der EU
ansässigen Unternehmensteils sein.
§ 40 Außergerichtliche Schlichtung
(1) Betroffene, die sich durch eine tatsächliche oder vermutete Verwendung von personenbezogenen
Daten in ihrem Persönlichkeitsrecht beeinträchtigt fühlen, können sich an den
Datenschutzbeauftragten des betroffenen Unternehmens mit der Bitte um Schlichtung wenden. Dieser
hat die Berechtigung der Beschwerde zu überprüfen und den Betroffenen im Hinblick auf seine
Rechte zu beraten. Dabei ist er verpflichtet, die Vertraulichkeit von weiteren, vom Beschwerdeführer
mitgeteilten personenbezogenen Daten zu wahren, soweit dieser ihn nicht hiervon befreit. Auf Wunsch
des Betroffenen kann der Versuch unternommen werden, unter Beteiligung des Betroffenen und des
Datenschutzbeauftragten, eine Einigung über die Beschwerde zu erzielen. Eine solche Einigung kann
auch eine Empfehlung über einen Ersatz eines durch Verletzung des Persönlichkeitsrechts erlittenen
Schadens enthalten. Eine solche Empfehlung – sofern sie einvernehmlich zustande kommt – ist für die
beteiligten Unternehmen verbindlich.
(2) Das Recht sich an mit der Beschwerde an die zuständige Aufsichtsbehörde zu wenden oder eine
Klage zu erheben bleiben hiervon unberührt.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 19 von 22| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7
Teil 6
Schlussbestimmungen
§ 41 Überprüfung und Überarbeitung dieser Konzernrichtlinie
(1) Der Konzerndatenschutzbeauftragte überprüft die Konzernrichtlinie Datenschutz in regelmäßigen
Abständen, mindestens jedoch einmal jährlich, auf deren Vereinbarkeit mit den geltenden Gesetzen
und passt diese bei Bedarf an.
(2) Wesentlichen Änderungen der Konzernrichtlinie, die sich zum Beispiel aus der notwendigen
Anpassung an rechtliche Vorgaben ergeben, werden mit der Aufsichtsbehörde abgestimmt. Diese
Änderungen gelten nach einer angemessenen Übergangsfrist unmittelbar für alle Unternehmen, die
die Konzernrichtlinie Datenschutz gezeichnet haben.
(3) Der Konzerndatenschutzbeauftragte informiert alle Unternehmen, die die Konzernrichtlinie
Datenschutz verbindlich eingeführt haben, über die inhaltlichen Änderungen.
(4) Die Datenschutzbeauftragten der Unternehmen sind verpflichtet zu überprüfen, ob Änderungen dieser
Konzernrichtlinie Datenschutz Auswirkungen auf die Rechtskonformität in ihrem Land haben oder in
Kollision mit den landesgesetzlichen Bestimmungen stehen. Sollte das Unternehmen die Änderungen
aus zwingenden gesetzlichen Gründen nicht umsetzen können, ist der
Konzerndatenschutzbeauftragte und zuständige Aufsichtsbehörde unverzüglich darüber zu
informieren und gegebenenfalls die Konzernrichtlinie Datenschutz für dieses Unternehmen
vorübergehend auszusetzen.
§ 42 Ansprechpartner- und Unternehmensliste
Der Konzerndatenschutzbeauftragte führt eine Liste der Unternehmen, die diese Konzernrichtlinie
verbindlich eingeführt haben und deren Ansprechpartner. Er hält diese aktuell und informiert Betroffene
bzw. die Datenschutzbehörde auf Anfrage.
§ 43 Verfahrensrecht / Salvatorische Klausel
Die Konzernrichtlinie unterliegt in Streitfragen dem Verfahrensrecht der Bundesrepublik Deutschland.
Sollten einzelne Bestimmungen dieser Konzernrichtlinie unwirksam sein oder werden, gelten sie als durch
Bestimmungen ersetzt, die dem ursprünglichen Gedanken dieser Konzernrichtlinie und der weggefallenen
Bestimmung am nächsten kommt. Im Zweifel gelten in diesen Fällen oder im Fall einer fehlenden Regelung
die einschlägigen Regelungen der europäischen Union zum Datenschutz entsprechend.
§ 44 Öffentliche Bekanntmachung
Die Unternehmen machen die Informationen zu den Rechten der Betroffenen und die
Drittbegünstigungsklausel an geeigneter Stelle der Öffentlichkeit zugänglich, etwa bei den
Datenschutzhinweisen im Internet. Die Veröffentlichung erfolgt unverzüglich nachdem die Konzernrichtlinie
für das Unternehmen verbindlich geworden ist.
Deutsche Telekom Gruppe, Stand 05.12.2013 Seite 20 von 22Sie können auch lesen
